TLS

Firefox Nightly z minulého týdne má ve výchozím stavu vypnutou podporu TLS 1.0 a 1.1. Tato změna by se měla objevit ve Firefoxu 71. Pokud otevřete stránku se starým TLS, budete varováni a pomocí tlačítka budete moci pokračovat. V některé příští…

Šifrovací standard TLS 1.3 (Transport Layer Security) je dokončen. Podrobnosti jsou k dispozici v blogu IETF či u Cloudflare. Autor: Cloudflare TLS 1.3

Phoronix informuje, že na FTP serverech Mozilly se už potuluje jednašedesátá verze Firefoxu. Ta přináší další vylepšení výkonu včetně aktualizace Quantum CSS (parsing je paralelizován), rychlejšího přepínání záložek a další. Novinkou je…

Nedávno schválené bezpečnější a rychlejší finální TLS 1.3 bude postupně zapínáno ve Firefoxu. Asi polovina nových uživatelů bude mít TLS 1.3 povoleno. Zapnout si je však můžete také ručně pomocí volby security.tls.version.max, 3 odpovídá TLS 1.2 a 4 TLS 1.3.

Minulý týden bylo IETF (The Internet Engineering Task Force) schváleno finální TLS 1.3, které se shoduje s 28. verzí draftu. Předpokládá se, že TLS 1.3 se stane standardní metodou pro HTTPS šifrovanou komunikaci přes internet. Oproti TLS 1.2 byly…

Audit firmy Sudo Security Group Inc. našel 76 aplikací pro iOS v App Store se špatně implementovaným TLS. Chyba spočívá v tichém akceptování podvrženého certifikátu, což může být zneužito k rozšifrování TLS komunikace (man-in-the-middle). Zatím…

Byl zveřejněna nová zranitelnost s názvem Sweet32, která se týká 64bitových blokových šifer v TLS (CVE-2016–2183) a OpenVPN (CVE-2016–6329). Šifry s délkou bloku 64 bitů jsou stále používány. Blowfish je dokonce výchozí šifra v OpenVPN a většina…

Nový útok na HTTPS HEIST (HTTP Encrypted Information can be Stolen Through TCP-Windows) byl ve středu představen na bezpečnostní konferenci Black Hat v Las Vegas. Nový útok nepotřebuje MITM a dokonce ani odposlouchávat komunikaci. Délku šifrované…

Holandský výzkumník Guido Vranken uveřejnil nový bicyklový útok na HTTPS. V plaintextové hlavičce HTTPS je možné najít informace, které prozradí délku například hesla v šifrovaném TLS. Toho lze následně použít například při hledání hesla…

Zranitelnost s označením Logjam (CVE-2015–4000) se týká protokolu Transport Layer Security (TLS) a může být zneužita v pozici Man-In-the-Middle (MitM) k downgradu na 512-bit klíč. Útočník může využít chybu ke čtení šifrovaných dat, případně…

Knihovna OpenSSL se po několika týdnech hlásí s novými verzemi 1.0.1k, 1.0.0p a 0.9.8zd. Ty stejně jako několik posledních vydání opravují nalezené bezpečností chyby. Další Heartbleed se naštěstí nekoná, jedná se o chyby střední a nižší závažnosti…

V říjnu 2014 byla společností Google objevena zranitelnost v samotném návrhu SSLv3, kterou je možné zneužít pomocí tzv. POODLE (Padding Oracle On Downgraded Legacy Encryption) útoku. Útoční­kovi umožňuje za ideálních podmínek získat obsah cookies…

Google uvolnil novou stabilní verzi svého webového prohlížeče Chrome 39, která přináší velkou změnu na platformě OS X. Zde počínaje Chrome 39 bude dostupná pouze v 64-bitové verzi, poslední 32-bitovou verzí je tedy Chrome 38. Druhou velkou změnou,…

Chyba POODLE v SSL 3.0 se netýká pouze zjevných aplikací jako webových serverů nebo prohlížečů, ale i dalších služeb. Příkladem budiž push notifikace v systémech od Applu, tedy iOS a OS X. Dosud mohly být přenášeny jak pomocí SSL, tak pomocí…

Trojice zaměstnanců Googlu objevila další závažnou bezpečnostní chybu, která je přítomna ve starší a nepříliš používané verzi protokolu SSL 3.0. Chyba byla pojmenována jako Poodlebleed (Padding Oracle On Downgraded Legacy Encryption) a za pro…

Po známé chybě Heartbleed v OpenSSL byla objevena obdobná chyba v konkurenční knihovně GnuTLS, která stejně jako OpenSSL slouží pro šifrované spojení prostřednictvím protokolů SSL a TLS. GnuTLS je rovněž obsaženo v drtivé většině linuxových…